Kaupmehe dokumentatsioon

Kõik kaardiandmete käitlejad peavad vastama PCI DSS-i nõuetele. Kuid nõuded erinevad olenevalt sellest, kuidas kaupmehed peavad turbestandardile vastamiseks dokumentatsiooni esitama. Olenevalt töödeldavate kaardimakse tehingute arvust aastas peavad kaupmehed esitama erinevaid dokumente PCI DSS-i nõuetele vastamiseks. Reeglid kehtivad kõikidele lepingutüüpidele. Nets võtab teiega ühendust, kui jõuate tasemele 1, 2 või 3.

Erinevad tasemed ja dokumentatsiooni eeskirjad

Kaupmehed, kellel on iga aasta rohkem kui kuus miljonit tehingut (1. tase). 

Kui teil on juurdepääs kaardiandmetele, peab kvalifitseeritud turbehindaja (QSA) tegema iga-aastase ülevaatuse ja volitatud ülevaataja (ASV) kord kvartalis teie arvutivõrku kontrollima. Kui teil pole juurdepääsu kaardiandmetele, peate täitma PCI-küsimustiku. 

Kaupmehed, kellel on iga aasta üks kuni kuus miljonit tehingut (2. tase)

Peate täitma PCI-küsimustiku üks kord aastas. Kui teil on juurdepääs kaardiandmetele, peab ASV kord kvartalis teie arvutivõrku kontrollima.

Veebipoed, millel on iga aasta 20 000 kuni miljon tehingut (3. tase)

Samad nõuded nagu 2. tasemel.

Kõik muud kaupmehed (4. tase)

Nets soovitab kontrollida arvutivõrku ja täita kord aastas PCI-küsimustiku.

Kõik 4. taseme kaupmehed, kellel on juurdepääs kaardiandmetele, peavad vastama PCI DSS-i nõuetele. Enamik andmevargustest juhtub väikeste ja keskmiste kaupmeestega, kes pole taganud vajalikku turvalisust.

Sertifitseeritud auditeerijate  loend (QSA – Qualified Security Assessors) – ettevõtted, mis on sertifitseeritud auditeerima süsteemi ülevaateid, mis peavad vastama PCI DSS-i nõuetele.

Heakskiidetud ülevaatajate loend (ASV) – ettevõtted, kellel on lubatud auditeerida IT-süsteeme.